CAPÍTULO 7: LISTAS

DE CONTROL DE
ACCESO
ALUMNO: ALDAHIR JACINTO LUCAS
PROFESOR: EZEQUIEL VEGA RUIZ
2TRD1
ÍNDICE
7.1.1.1 ¿Qué es una ACL?...................................................................................................................3
7.1.1.2 Filtrado de paquetes..............................................................................................................3
7.1.1.3 Funcionamiento de las ACL....................................................................................................3
7.1.2.1 Introducción a las máscaras wildcard en ACL.........................................................................3
7.1.2.2 Ejemplos de máscara wildcard...............................................................................................4
7.1.2.3 Cálculo de la máscara wildcard..............................................................................................4
7.1.2.4 Palabras clave de las máscaras wildcard................................................................................5
7.1.2.5 Ejemplos de palabras claves de máscara wildcard.................................................................5
7.1.3.1 Pautas generales para la creación de ACL..............................................................................5
7.1.3.2 Optimizaciones de las ACL......................................................................................................6
7.1.4.1 Dónde ubicar las ACL..............................................................................................................6
7.1.4.2 Ubicación de la ACL estándar.................................................................................................7
7.2.1.1 Sintaxis de ACL estándar numerada IPv4...............................................................................7
7.2.1.2 Aplicación de ACL estándar IPv4 a las interfaces....................................................................8
7.2.1.3 Ejemplos de ACL estándar numeradas IPv4...........................................................................8
7.2.1.4 Sintaxis de ACL con nombre estándar IPv4............................................................................9
7.2.2.1 Método 1: usar un editor de texto.......................................................................................10
7.2.2.2 Método 2: usar números de secuencia................................................................................10
7.2.2.3 Edición de ACL estándar con nombre...................................................................................11
7.2.2.4 Verificar las ACL....................................................................................................................11
7.2.2.5 Estadísticas de ACL...............................................................................................................12
7.2.3.1 El comando access-class.......................................................................................................12
7.2.3.2 Verificación de la seguridad del puerto VTY.........................................................................13
7.3.1.1 Deny any implícita................................................................................................................13
7.3.1.2 El orden de las ACE en una ACL............................................................................................13
7.3.1.3 El IOS reordena las ACL estándar.........................................................................................14
7.3.1.4 Procesos de enrutamiento y ACL.........................................................................................14
7.3.2.1 Solución de problemas de ACL IPv4 estándar. Ejemplo 1.....................................................14
 Capítulo 7: Listas de Control de Acceso

7.1 Funcionamiento de las ACL

7.1.1.1 ¿Qué es una ACL?
Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de
seguridad informática usado para fomentar la separación de privilegios. Es una forma de
determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos
aspectos del proceso que hace el pedido.

7.1.1.2 Filtrado de paquetes

Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches.
Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a
alguna condición. Sin embargo, también tienen usos adicionales, como, por ejemplo, distinguir
“tráfico interesante” (tráfico suficientemente importante como para activar o mantener una
conexión) en ISDN.

7.1.1.3 Funcionamiento de las ACL

Las ACL definen el conjunto de reglas que proporcionan un control adicional para los paquetes que
ingresan por las interfaces de entrada, para los que retransmiten a través del router y para los que
salen por las interfaces de salida del router.

 ACL de entrada: Ideales para filtrar los paquetes cuando la red conectada a una interfaz de
entrada es el único origen de los paquetes que se deben examinar.
 ACL de salida: Ideales cuando se aplica el mismo filtro a los paquetes que provienen de
varias interfaces de entrada antes de salir por la misma interfaz de salida.

7.1.2 máscaras wildcard en ACL

7.1.2.1 Introducción a las máscaras wildcard en ACL

Una máscara wildcard es una cadena de 32 dígitos binarios que el router utiliza para determinar
qué bits de la dirección debe examinar para obtener una coincidencia. De igual forma, las
máscaras wildcard utilizan unos y ceros binarios para filtrar direcciones IPv4 individuales o grupos
de direcciones IPv4 para permitir o denegar el acceso a los recursos.

 Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de
subred, cambiando los “0” por “1” y los “1” por “0” (en binario).

7.1.2.2 Ejemplos de máscara wildcard

 Máscaras de comodín para establecer coincidencias con subredes IPv4
 Máscaras wildcard para establecer coincidencias con rangos

3
 Capítulo 7: Listas de Control de Acceso

7.1.2.3 Cálculo de la máscara wildcard

Cálculo de máscara wildcard: ejemplo 1

En el primer ejemplo en la ilustración, suponga que desea permitir el acceso a todos los usuarios
en la red 192.168.3.0. Dado que la máscara de subred es 255.255.255.0, podría tomar
255.255.255.255 y restarle la máscara de subred 255.255.255.0. El resultado genera la máscara
wildcard 0.0.0.255.

Cálculo de máscara wildcard: ejemplo 2

En el segundo ejemplo en la ilustración, suponga que desea permitir el acceso a la red a

los 14 usuarios en la subred 192.168.3.32/28. La máscara de subred para la subred IPv4 es
255.255.255.240; por lo tanto, tome 255.255.255.255 y réstele la máscara de subred
255.255.255.240. Esta vez, el resultado genera la máscara wildcard 0.0.0.15.

Cálculo de máscara wildcard: ejemplo 3

En el tercer ejemplo en la ilustración, suponga que solo quiere establecer la coincidencia con las
redes 192.168.10.0 y 192.168.11.0. Una vez más, tome 255.255.255.255 y reste la máscara de
subred regular que, en este caso, es 255.255.254.0. El resultado es 0.0.1.255.

4
 Capítulo 7: Listas de Control de Acceso

7.1.2.4 Palabras clave de las máscaras wildcard

 La palabra clave host reemplaza la máscara 0.0.0.0. Esta máscara indica que todos los
bits de direcciones IPv4 deben coincidir para filtrar solo una dirección de host.

 La opción any sustituye la dirección IP y la máscara 255.255.255.255. Esta máscara

establece que se omita la dirección IPv4 completa o que se acepte cualquier dirección.

7.1.2.5 Ejemplos de palabras claves de máscara

wildcard

7.1.3 Pautas para la creación de

ACL
7.1.3.1 Pautas generales para la creación de ACL
Las siguientes son algunas pautas para el uso de ACL:

 Utilice las ACL en los routers de firewall ubicados entre su red interna y una red externa,
como Internet.

5
 Capítulo 7: Listas de Control de Acceso

 Utilice las ACL en un router ubicado entre dos partes de la red para controlar el tráfico que
entra a una parte específica de su red interna o que sale de esta.

 Configure las ACL en los routers de frontera, es decir, los routers ubicados en los límites
de las redes. Esto proporciona una separación muy básica de la red externa o entre un área
menos controlada y un área más importante de su propia red.

7.1.3.2 Optimizaciones de las ACL

El uso de las ACL requiere prestar atención a los detalles y un extremo cuidado. Los errores
pueden ser costosos en términos de tiempo de inactividad, esfuerzos de resolución de problemas y
servicio de red deficiente. Antes de configurar una ACL, se requiere una planificación básica.

7.1.2 Pautas para la colocación

de ACL
7.1.4.1 Dónde ubicar las ACL
La correcta colocación de las ACL puede contribuir a que la red funcione de forma más eficaz.

 Se puede colocar una ACL para reducir el tráfico innecesario.

 Cada ACL se debe colocar donde tenga más impacto en la eficiencia.

6
 Capítulo 7: Listas de Control de Acceso

7.1.4.2 Ubicación de la ACL estándar

ACL estándar: debido a que en las ACL estándar no se especifican las direcciones de destino,
colóquelas tan cerca del destino como sea posible

 Si coloca una ACL estándar en el origen del tráfico, evitará de forma eficaz que ese tráfico
llegue a cualquier otra red a través de la interfaz a la que se aplica la ACL.

7
 Capítulo 7: Listas de Control de Acceso

7.2.1 Configuración de ACL de

IPv4 estándar
7.2.1.1 Sintaxis de ACL estándar numerada IPv4
Lsintaxis completa del comando de ACL estándar es la siguiente:

Router(config)# access-list número acl {deny | permit | remark} origen [ wildcard-origen] [ log]

7.2.1.2 Aplicación de ACL estándar IPv4 a las

interfaces
Después de que se configura una ACL estándar IPv4, se vincula a una interfaz mediante el
comando ip access-group en el modo de configuración de interfaz:

Router(config-if) # ip access-group {número-acl | nombre acl} {in | out}

Para eliminar una ACL de una interfaz, primero se introduce el comando no ip access-group en la
interfaz y, a continuación, introduzca el comando global no access-list para eliminar la ACL
completa.

7.2.1.3 Ejemplos de ACL estándar numeradas IPv4

 Se muestra un ejemplo de una ACL que permite una subred específica, con excepción de
un host específico en esa subred.

8
 Capítulo 7: Listas de Control de Acceso

 La siguiente instrucción de ACL deniega el host de la PC1 ubicado en 192.168.10.10.

Todos los demás hosts en la red 192.168.10.0/24 se permiten entonces.

 La ACL se vuelva a aplicar a la interfaz S0/0/0 en sentido de salida.

7.2.1.4 Sintaxis de ACL con nombre estándar IPv4

La asignación de nombres a las ACL hace más fácil comprender su función. Cuando se identifica la
ACL con un nombre en lugar de un número, el modo de configuración y la sintaxis de los
comandos son sutilmente diferentes. se muestran los pasos necesarios para crear una ACL
estándar con nombre.

9
 Capítulo 7: Listas de Control de Acceso

7.2.2 Modificación de ACL de

IPv4
7.2.2.1 Método 1: usar un editor de texto

7.2.2.2 Método 2: usar números de secuencia

10
 Capítulo 7: Listas de Control de Acceso

7.2.2.3 Edición de ACL estándar con nombre

7.2.2.4 Verificar las ACL

11
 Capítulo 7: Listas de Control de Acceso

7.2.2.5 Estadísticas de ACL

12
 Capítulo 7: Listas de Control de Acceso

7.2.3 Protección de puertos VTY

con una ACL de IPv4 estándar
7.2.3.1 El comando access-class
El comando access-class configurado en el modo de configuración de línea restringe las
conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las
direcciones en una lista de acceso.

La sintaxis del comando access-class es la siguiente:

Router (config)# access-class access-list-number {in [ vrf-also] | out}

7.2.3.2 Verificación de la seguridad del puerto VTY

Después de configurar la ACL para restringir el acceso a las líneas VTY, es importante verificar que
funcione correctamente.

13
 Capítulo 7: Listas de Control de Acceso

7.3.1 Procesamiento de
paquetes con ACL
7.3.1.1 Deny any implícita
Una ACL de entrada única con solo una entrada de denegación tiene el efecto de denegar todo el
tráfico. Se debe configurar al menos una ACE permit en una ACL. En caso contrario, se bloquea
todo el tráfico.

7.3.1.2 El orden de las ACE en una ACL

El IOS de Cisco aplica una lógica interna al aceptar y procesar las ACE estándar. Como se
mencionó anteriormente, las ACE se procesan de forma secuencial;

7.3.1.3 El IOS reordena las ACL estándar

Es posible que el orden en que se introducen las ACE estándar no sea el orden en que se
almacenen, se muestren o se procesen en el router.

El comando show running-config se utiliza para verificar la configuración de la ACL. Observe que
las instrucciones se enumeran en un orden distinto al orden en que se introdujeron. Utilizaremos el
comando show access-lists para comprender la lógica detrás de esto.

7.3.1.4 Procesos de enrutamiento y ACL

14
 Capítulo 7: Listas de Control de Acceso

7.3.2 Errores estándar comunes

de ACL de IPv4
7.3.2.1 Solución de problemas de ACL IPv4 estándar.
Ejemplo 1
Mediante los comandos show descritos anteriormente, se revela la mayoría de los errores más
comunes de ACL. Los errores más comunes incluyen introducir las ACE en el orden incorrecto y no
especificar reglas de ACL adecuadas. Otros errores comunes incluyen la aplicación de la ACL
mediante la dirección incorrecta, la interfaz incorrecta, o direcciones de origen incorrectas.

15